Mobilna zlonamerna programska oprema ToxicPanda
Nova različica bančne zlonamerne programske opreme Android, imenovana ToxicPanda, je okužila več kot 1500 naprav Android in kiberkriminalcem omogočila izvajanje goljufivih bančnih transakcij. Primarni cilj ToxicPande je sprožiti nepooblaščene prenose denarja iz ogroženih naprav s prevzemom računa (ATO) z uporabo tehnike, znane kot goljufije na napravi (ODF). Ta metoda se poskuša izogniti bančnim varnostnim ukrepom, namenjenim preverjanju identitete uporabnikov in odkrivanju nenavadnih vzorcev transakcij z analizo vedenja.
Raziskovalci verjamejo, da ToxicPanda izvira iz kitajsko govorečega akterja grožnje. Zlonamerna programska oprema ima opazne podobnosti s TgToxic , še eno zlonamerno programsko opremo za Android, ki je bila ugotovljena v začetku leta 2023. TgToxic je sposobna ukrasti poverilnice in sredstva iz denarnic za kriptovalute.
Kazalo
ToxicPanda cilja na različne države
Največ okužb so opazili v Italiji (56,8 %), sledijo Portugalska (18,7 %), Hong Kong (4,6 %), Španija (3,9 %) in Peru (3,4 %). To je nenavaden primer, ko je kitajski akter grožnje ciljal na uporabnike bančnega poslovanja s prebivalstvom v Evropi in Latinski Ameriki.
Zdi se, da je ta bančni trojanec v zgodnjih fazah, analiza pa ga je razkrila kot zmanjšano različico njegovega predhodnika. Ključne funkcije, kot so sistem samodejnega prenosa (ATS), Easyclick in rutine zamegljevanja, so bile odstranjene, medtem ko je bilo dodanih 33 novih ukazov za pridobivanje širšega obsega podatkov.
Poleg tega si TgToxic in ToxicPanda delita 61 ukazov, kar nakazuje, da za to družino zlonamerne programske opreme verjetno stoji isti akter grožnje ali tesni sodelavci. Čeprav ToxicPanda ohranja nekaj podobnosti ukazov botov z družino TgToxic, se njegova koda bistveno razlikuje. Več funkcij, značilnih za TgToxic, manjka in zdi se, da so nekateri ukazi ograde brez dejanske funkcionalnosti.
Kako deluje bančni trojanec ToxicPanda?
Zlonamerna programska oprema se preobleče v dobro znane aplikacije, kot so Google Chrome, Visa in 99 Speedmart, ki se distribuirajo prek lažnih spletnih mest, ki posnemajo zakonite objave v trgovinah z aplikacijami. Še vedno ni jasno, kako se te povezave delijo ali ali so vpletene tehnike, kot sta zloraba ali zasmehovanje.
Ko je nameščen s stranskim nalaganjem, ToxicPanda izkorišča Androidove storitve dostopnosti za pridobitev povišanih dovoljenj, avtomatizacijo uporabniških vnosov in zajemanje podatkov iz drugih aplikacij. Lahko prestreže enkratna gesla (OTP), poslana prek SMS-a ali aplikacij za preverjanje pristnosti, kar napadalcem omogoči, da zaobidejo dvofaktorsko avtentikacijo (2FA) in dokončajo nepooblaščene transakcije.
Poleg zbiranja podatkov primarna funkcija zlonamerne programske opreme omogoča napadalcem, da na daljavo nadzorujejo ogroženo napravo in izvajajo goljufije na napravi (ODF), kar omogoča nepooblaščene prenose denarja brez zavedanja žrtve.
Raziskovalci poročajo, da so dostopali do nadzorne plošče ToxicPanda Command-and-Control (C2). V tem vmesniku v kitajskem jeziku si lahko operaterji ogledajo seznam okuženih naprav, vključno s podrobnostmi o modelu in lokaciji, ter jih celo odstranijo iz botneta. Panel operaterjem omogoča tudi, da zahtevajo oddaljeni dostop v realnem času do naprav za izvajanje dejavnosti ODF.
ToxicPanda je morda v zgodnjem razvoju kibernetskih kriminalcev
ToxicPanda še ni pokazala bolj sofisticiranih ali značilnih zmogljivosti, zaradi katerih bi bila njena analiza zahtevnejša. Vendar pa elementi, kot so podatki za beleženje, neuporabljena koda in datoteke za odpravljanje napak, kažejo, da je zlonamerna programska oprema morda v zgodnjih fazah razvoja ali pa je v precejšnjem preoblikovanju kode, zlasti če upoštevamo njeno podobnost s TGToxic.
